toute l'actualité "Management"

Le « social engineering » est une stratégie en forte croissance chez les cybercriminels.

Le Clusif (Club de la Sécurité des Systèmes d'Information Français) a organisé le 14 juin au Cercle National des Armées à Paris une réunion de sensibilisation sur les techniques d'attaques non-technologiques qui seraient en forte expansion. Regroupées sous le terme de « social engineering », ces attaques visent à obtenir des informations utiles qui seront utilisées, par exemple, pour mener une attaque plus classique sur le SI. Un cas très fréquent est la volonté d'obtenir des identifiants et des mots de passe. Le « social engineering » repose sur les faiblesses humaines. Il existe deux types de stratégies : d'une part les attaques à large échelle non-ciblées reposant sur la loi des grands nombres (le cybercriminel compte sur la bêtise de quelques uns), d'autre part les attaques ciblées avec une préparation et des objectifs précis. Les envois massifs de pourriels, notamment d'hameçonnage dont la qualité intrinsèque s'est nettement améliorée, appartiennent à la première catégorie ; les récupérations de données nominatives et d'organigrammes hiérarchiques permettent les secondes, notamment par usurpation d'identité (il a ainsi été rappelé que les poubelles des entreprises comprennent toujours de grandes quantités de données utiles, notamment des disques durs non-effacés). Mais les manoeuvres relevant du « social engineering » ne sont que rarement en elles-mêmes des délits, tout au plus un prémisse de délit, ce qui rend particulièrement délicat l'intervention de la police. Les intervenants ont insisté sur que les gens ont une tendance naturelle à aider leur prochain si cela ne leur coûte rien. Si une motivation particulière est nécessaire, les cybercriminels emploient souvent instinctivement la méthode dite MICE (Monnaie, idéologie, contrainte, égo) : promettre de l'argent ou un avantage, faire appel aux valeurs (« aidez les pauvres enfants du Tiers-Monde »), usurper l'identité d'un supérieur pour obtenir une soumission à un ordre, jouer sur la flatterie (« un excellent développeur comme vous peut sans doute m'aider... »). Pour lutter contre les attaques relevant du « social engineering », il est nécessaire de sensibiliser les personnels des entreprises, et surtout de donner des directives très claires (par exemple : ne jamais donner un mot de passe par téléphone, rappeler un correspondant sur un numéro identifié et connu avant d'accepter de lui donner une information sensible...). Une manière de lutter contre la divulgation d'informations sensibles est aussi... de supprimer cette information ! Ainsi, il peut être opportun de remplacer des mots de passe par des clés USB portant un identifiant physique.

ACTUALITES A LA UNE Chiffres-clés Deloitte : 12 innovations qui vont changer la vie en 2012 03/02/2012 - Les prédictions du cabinet Deloitte pour l'année 2012 dans le secteur des technologies, médias et télécommunications ont (...) Economie Les entreprises à la recherche de l'unification de leurs outils sociaux 01/02/2012 - Le cabinet d'études et de conseils Lecko (ex-Useo) vient de publier la quatrième édition annuelle de son étude sur les r (...) Projets Air Liquide optimise la gestion de 6 milliards d'euros annuels d'achats Chiffres-clés Observatoire du Cobol : un langage encore très vivant Projets La Semcoda installe son datacenter dans un monument historique sans le défigurer Projets L'Ecole Centrale de Paris met en oeuvre un extranet social open-source Chiffres-clés Les travailleurs s'adaptent aux évolutions du travail avec les TIC >> Toute l'actualité
CONFERENCES LE CLOUD COMPUTING A L'EPREUVE DE LA REALITE : Bâtir le système d'information de l'entreprise numérique 16/02/2012 De 8h30 à 14h00 au Pavillon Dauphine - Paris 16e Programme   Inscrivez-vous Toutes les conférences		AGENDA Deauville : vingtièmes rencontres de l'AMRAE Du mercredi 8 février 2012 au vendredi 10 février 2012 Centre International de Deauville (CID), 1 avenue Lucien Barrière, 14800 Deauville en savoir plus Tout l'agenda
		CONTRIBUTIONS La communication de la DSI Laurent Dherbecourt - Parole d'expert Partner chez Sopra Consulting Le jour où les informaticiens arrêteront de parler et commenceront à communiquer, leur sort sera meilleur... (...) Réseaux sociaux : quels risques ? quel encadrement ? Etienne Papin - Parole d'expert Avocat associé du cabinet Féral-Schuhl / Sainte-Marie L'émergence des réseaux sociaux pousse vers une déstructuration accrue des catégories juridiques. (...) Toutes les expertises

. Web-profils.com, la place de marché du conseil et de l'ingénierie